【通讯意见】通信管理局电信网络安全防护工作实施意见通信管理局电信网络安全防护工作实施意见一、电信网络安全防护工作的总体思路和基本原则（一）总体思路1.电信网络安全防护工作的主要内容电信网络安全防护工作包括等级保护、风险评估、灾难备份等以事前防护和准备为主的相关工作内容，总体目标是要从管理和技术等多个方面，落实和改进与电信网络的重要性及面临的威胁相适应的安全保护措施，以提高电信网络的安全保护能力和水平，有效减少严重网络安全事件的发生。等级保护是根据被保护对象一旦遭受破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其他组织的合法利益的危害程度大小，确定被保护对象的安全保护等级，并落实与安全保护等级相适应的基本安全保护措施。风险评估是通过系统地认识和分析被保护对象的相关资产、存在的脆弱性、面临的威胁以及已有保护措施的有效性，科学推断出安全事件发生的可能性和可能造成的危害程度，并提出和落实有针对性的整改措施，将残余风险降低到可以接受的程度。灾难备份是对重要线路、设备、业务系统和数据等进行冗余备份，保证当主用线路、设备、业务系统和数据发生故障或遭到破坏后，有条件迅速切换使用相应的备用资源，提高网络和业务的抗毁性和可持续服务能力。2.将等级保护、风险评估、灾难备份等有机结合等级保护、风险评估、灾难备份等工作相互之间密切相关、互相渗透、互为补充。电信网络安全防护应将等级保护、风险评估、灾难备份等工作有机结合，加强相关工作之间的整合和衔接，保证电信网络安全防护工作的整体性、统一性和协调性。电信网络安全防护工作应按照根据被保护对象的重要性进行分等级保护的思想，通过风险评估的方法正确认识被保护对象存在的脆弱性和面临的威胁，进而制定、落实和改进与安全保护等级和风险大小相适应的一系列管理、技术、灾难备份等安全保护措施，最终达到提高电信网络安全保护能力和水平的目的。在开展等级保护工作时，要充分应用风险评估的方法，认识、分析不同类型的网络和业务存在的脆弱性和面临的威胁，进而制定和落实与被保护对象的类型、脆弱性和威胁相适应的基本安全保护措施要求，提高等级保护工作的针对性和适用性。在开展风险评估工作时，在分析被保护对象综合风险和制定改进方案的过程中，要始终与被保护对象的安全保护等级相结合，合理确定被评估对象的可接受风险和制定确实必要的整改措施，避免无限度的改进提高。在开展灾难备份工作时，要结合被备份对象的安全保护等级和面临的威胁，制定相适应的备份措施，并将有关备份的要求体现在等级保护相关标准的措施要求中进行落实。3.运营单位自主防护与行业主管部门监督检查相结合按照“谁主管、谁负责,谁运营、谁负责”的原则，电信网络安全防护工作实行电信运营企业自主防护与电信行业主管部门监督检查相结合的工作机制。各电信运营公司应当按照本集团公司和通信管理局的要求，结合公司自身实际情况，认真贯彻落实电信网络安全防护的相关规定和标准，并接受通信管理局的监督检查。不断健全科学、规范、有效的电信网络安全防护管理体系。（二）基本原则电信网络安全防护工作应遵循以下基本原则：1、整体性原则。电信网络由各种设备、线路和相应的支撑、管理单元互联组成，具有全程全网的特点，对电信网络某一部分的调整或改动（包括实施各项保护措施），可能影响整个电信网络的安全可靠运行。因此，电信网络安全防护工作应坚持对整个网络统筹兼顾，由信息产业部会同各电信运营企业集团公司，结合电信网络的实际特点统一研究和组织部署。2、规范性原则。电信网络种类繁多、结构复杂,安全防护工作涵盖线路、设备、网络、业务系统等多种对象,涉及管理、技术等多个方面，包括安全评测、风险评估等多项环节，是一项复杂的系统工程。为保证电信网络安全防护工作的有效性和规范性，相关工作应当按照国家和信息产业部组织制定的有关标准实施。3、适度性原则。电信网络安全防护工作追求的是适度安全的目标。要始终运用等级保护的思想，制定和落实与电信网络的重要性相适应的安全保护措施要求;要坚持运用风险评估的方法，提出和落实与电信网络的风险大小相适应的改进措施。对于重要性高、风险大的电信网络，要采取较高程度的安全保护措施，反之，对于重要性低、风险小的电信网络，可以采取较低程度的保护措施。4、同步性原则。电信网络自身存在的脆弱性是导致安全事件发生的内在原因，在电信网络新建、改建、扩建时，应当在规划和设计工作中同步考虑在源头上有效减少电信网络的脆弱性。对于难以彻底消除的脆弱性，应当同步规划、设计和实施电信网络安全保护措施，并做到安全保护措施与安全保护等级的要求相一致。二、电信网络安全防护工作的主要任务（一）电信网络的定级定级是等级保护的基础和前提。电信运营企业拥有和运行的电信网络由不同的专业网络和业务单元共同组成，各类专业网络和业务单元具有不同的技术特点，存在不同的脆弱性和